Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Heeft TDSS KILLER malware gevonden of is het een false positive?

28-10-2013, 20:18 door Anoniem, 4 reacties
Heb net een scan gedaan met Kaspersky TDSS-Killer en die heeft iets verdachts gevonden en wel dit:Unsigned file. Service: Afc Suspicious object medium risk Service type: Kernel driver ( 0x ) Service start: Demand ( 0x3 ) File: C:\Windows\system32\drivers\Afc.sys. MD5: A7B8A3A79D35215D798A300DF49ED23F SHA256:D441633C0F8E22F8976B95D6A3DCD552AA07C616AC5FE4379472954F7BE6075E. Is dit idd malware? En kan ik dit veilig (door TDSS Killer) laten verwijderen?
Reacties (4)
28-10-2013, 22:08 door 0101 - Bijgewerkt: 28-10-2013, 22:10
Lijkt me geen malware. Malware blijft geen 4 jaar ongedetecteerd bestaan zonder dat de signature verandert (behalve als die slechts zeer gericht wordt ingezet en nooit iets doet waardoor het opgemerkt kan worden).

https://www.virustotal.com/nl/file/d441633c0f8e22f8976b95d6a3dcd552aa07c616ac5fe4379472954f7be6075e/analysis/1382994384/#additional-info
29-10-2013, 08:41 door Anoniem
Dit lijkt mij ook geen malware, het is waarschijnlijk een onderdeel van een codec, een driver of van software om afbeeldingen te bewerken. Het zou zomaar kunnen zijn dat die software al is voor-geïnstalleerd bij aanschaf van je computer.
Ook staat het bestand in de directory waar het thuishoort, en komt de hash overeen met die van het legitieme en reeds bekende bestand.

Je kunt dit bestand verwijderen, maar dan heb je wel kans dat bepaalde software niet meer werkt, of dat je dvd-station niet meer (volledig) functioneert.

Handmatig het bestand van naam veranderen e/o in een andere directory plaatsen en kijken wat er gebeurt kijkt me dan ook verstandiger!
29-10-2013, 10:36 door Anoniem
AFC.SYS File description :

Afc.sys with description Arcsoft(R) ASPI Shell is a driver file from company Arcsoft, Inc. belonging to product Arcsoft(R) ASPI Shell. The file is digitally signed from ArcSoft, Inc. - VeriSign Time Stamping Services Signer

We do not recommend removing digitally signed files from ArcSoft, Inc.
29-10-2013, 12:07 door Erik van Straten
Door Anoniem: AFC.SYS File description :

Afc.sys with description Arcsoft(R) ASPI Shell is a driver file from company Arcsoft, Inc. belonging to product Arcsoft(R) ASPI Shell. The file is digitally signed from ArcSoft, Inc. - VeriSign Time Stamping Services Signer

We do not recommend removing digitally signed files from ArcSoft, Inc.
De TS schrijft echter "Unsigned file" en ook op de eerdergenoemde Virustotal pagina zie ik geen aanwijzingen dat dit bestand digitaal ondertekend is.

Als dit klopt kan het zijn dat:
- Arcsoft ook unsigned exemplaren heeft verspreid;
- Het bestand door Arcsoft is ondertekend, maar daarna gewijzigd is waarbij de (Authenticode) signature is verwijderd;
- Het om een bestand gaat waarin de auteur liegt dat Arcsoft de maker is (gangbare truc bij malware).

Unsigned drivers zijn verdacht, met name recente exemplaren. Mijn advies: download een bootable antivirus image (zie bijv. https://support.kaspersky.com/viruses/rescuedisk) en brand deze op CD of zet deze op stick, reboot daarmee en laat je systeem scannen terwijl het OS zelf niet draait.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search